В компании Google подтвердили факт существования проблемы, заметив при этом, что случаев практического использования дыры пока зарегистрировано не было. К тому же в Google достаточно оперативно отреагировали на изыскания Петкова и устранили брешь.
Информацию о дыре в Gmail распространил британский исследователь по вопросам компьютерной безопасности Петко Петков. Проблема связана с системой настраиваемых фильтров Gmail и теоретически позволяет злоумышленникам пересылать электронные письма жертвы на указанный адрес почты. Для того чтобы задействовать дыру, необходимо вынудить пользователя войти в свой Gmail-аккаунт, а затем посетить сформированный специальным образом веб-сайт. В этом случае посредством так называемой межсайтовой подмены запроса нападающий может внедрить в ящик жертвы вредоносный фильтр.
В компании Google подтвердили факт существования проблемы, заметив при этом, что случаев практического использования дыры пока зарегистрировано не было. К тому же в Google достаточно оперативно отреагировали на изыскания Петкова и устранили брешь. Между тем, сам Петков опубликовал пример вредоносного кода, при помощи которого можно задействовать уязвимость.
Важно заметить, что ранее внедренный в аккаунт Gmail вредоносный фильтр будет сохранять работоспособность до тех пор, пока пользователь не удалит его из списка. Поэтому подписчикам Gmail рекомендуется проверить список активных фильтров во избежание утечки конфиденциальной информации.